强士龙
天津冶金职业技术学院
毕业设计
虚拟专用网VPN的实现与应用
系别:电子信息工程系
专业:信息安全技术
班级:信息安全08-2班
学生姓名:强士龙
指导教师:张绍鹍
2011年3月31
摘要
本文主要就虚拟专用网在学校校园网中的应用做初浅的探索,提出校园网资源远程访问的一种安全、低廉的解决方案,为众多已建和在建的校园网提供一定的启发与参考。
近年来,随着计算机多媒体网络技术的快速发展、学校信息化建设的加快,校园网已经成为学校信息化建设的重要组成部分。校园网应用在教学过程中,不仅可以改变传统的教学模式、教学方法和教学手段,而且将会促进教育观念、教学思想的转变。丰富的教育资源为教师的教学和学生的学习提供了优良的软件环境。但为了校园网的安全,学校在校园网建设时,通常是将公网与私网进行物理隔离,使外网无法访问内网资源。这样势必导致住在校外的教师和学生在家中无法使用校园网内部资源。要解决这个问题,虚拟专用网就是一种安全、低廉的解决方案。
关键词:虚拟专用网、VPN、校园网资源、隧道技术、数据加密算法、路由器
目录
摘要 (1)
1 论述 (3)
1.1 VPN概念 (3)
1.2 VPN的类型 (4)
1.2.1 按应用范围划分 (4)
1.2.2 按VPN网络结构划分 (4)
1.2.3 按接入方式划分 (5)
1.2.4 按隧道协议划分 (5)
1.2.5 按隧道建立方式划分 (6)
1.2.6 按路由管理方式划分 (6)
1.2.7 按照实现方式划分 (7)
2 虚拟专用网在教育行业的应用前景 (8)
2.1 校园网建设 (9)
2.2 网上远程教育 (9)
2.3 教育城域网建设以及“校校通”工程 (9)
3 虚拟专用网技术概述 (10)
3.1 虚拟专用网的核心——隧道技术 (10)
3.2 虚拟专用网的协议——隧道协议 (11)
4. 我选用的应用解决方案 (13)
参考文献 (19)
1 虚拟专用网的概述与类型
1.1 VPN概念
VPN的基本思想就是在公共网络上建立安全的专用网络,来传输内部信息而形成逻辑网络,从而为企业用户提供比专线价格更低廉,安全性更高的资源共享和互联服务。VPN是企业内部网的扩展。
虚拟专用网指的是在公用网络上建立专用网络的技术,即通过对网络数据的封包和加密传输,在公用网络上传输私有数据,形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。
顾名思义,所谓“虚拟”(Virtual),说明它是一种仿真物理连接的逻辑网络连接,没有固定的物理连接,利用的是公共网络资源。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公用网络资源(如Internet、ATM网络、帧中继网络等)动态组成的。所谓“专用”(Private,或译为“私用”),说明它在功能上等同于传统的专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可被当作专用网络使用。
VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
VPN系统结构如下:
图 1.1 VPN系统结构
1.2 VPN的类型
VPN既是一种组网技术,又是一种网络安全技术。VPN涉及的技术和概念比较多,应用的形式也很丰富,其分类方式也很多,令人眼花缭乱。在技术篇中我们介绍了按实现技术将VPN分成基于隧道的VPN、基于虚电路的VPN和MPLS VPN等,这里再介绍几种主要的划分方式。
1.2.1 按应用范围划分
这是最常用的分类方法,大致可以划分为远程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3种应用模式。远程接入VPN用于实现移动用户或远程办公室安全访问企业网络;Intranet VPN用于组建跨地区的企业内部互联网络;Extranet VPN 用于企业与客户、合作伙伴之间建立互联网络。
1.2.2 按VPN网络结构划分
VPN可分为以下3种类型。
1.基于VPN的远程访问
即单机连接到网络,又称点到站点,桌面到网络。用于提供远程移动用户对公
司内部网的安全访问。
2. 基于VPN的网络互联
即网络连接到网络,又称站点到站点,网关(路由器)到网关(路由器)或网络到网络。用于企业总部网络和分支机构网络的内部主机之间的安全通信时,还可用于企业的内部网与企业合作伙伴网络之间的信息交流,并提供一定程度的安全保护,防止对内部信息的非法访问。
3.基于VPN的点对点通信
即单机到单机,又称端对端,用于企业内部网的两台主机之间的安全通信。1.2.3 按接入方式划分
在Internet上组建VPN,用户计算机或网络需要建立到ISP的连接。与用户上网接入方式相似,根据连接方式,可分为两种类型。
1.专线VPN通过固定的线路连接到ISP,如DDN、帧中继等都是专线连接。
2.拨号接入VPN简称VPDN,使用拨号连接(如模拟电话、ISDN和ADSL等)连接到ISP,是典型的按需连接方式。这是—种非固定线路的VPN。
1.2.4 按隧道协议划分
按隧道协议的网络分层,VPN可划分为第2层隧道协议和第3层隧道协议。PPTP、L2P和L2TP都属于第2层隧道协议,IPSec属于第3层隧道协议,MPLS跨越第2层和第3层。VPN的实现往往将第2层和第3层协议配合使用,如L2TP/IPSec。当然,还可根据具体的协议来进一步划分VPN类型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN 等。
第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议,如IP、IPX和AppleTalk,也可以支持多种广域网技术,如帧中继、ATM、X.25或SDH/SONET,还可以支持任意局域网技术,
如以太网、令牌环网和FDDI网等。另外,还有第4层隧道协议,如SSL VPN。
1.2.5 按隧道建立方式划分
根据VPN隧道建立方式,可分为两种类型。
1.自愿隧道(Voluntary tunnel)
指客户计算机或路由器可以通过发送VPN请求配置和创建的隧道。这种方式也称为基于用户设备的VPN。VPN的技术实现集中在VPN用户端,VPN隧道的起始点和终止点都位于VPN用户端,隧道的建立、管理和维护都由用户负责。ISP只提供通信线路,不承担建立隧道的业务。这种方式技术实现容易,不过对用户的要求较高。不管怎样,这仍然是目前最普遍使用的VPN组网类型。
2. 强制隧道(Compulsory tunnel)
指由VPN服务提供商配置和创建的隧道。这种方式也称为基于网络的VPN。VPN 的技术实现集中在ISP,VPN隧道的起始点和终止点都位于ISP,隧道的建立、管理和维护都由ISP负责。VPN用户不承担隧道业务,客户端无需安装VPN软件。这种方式便于用户使用,增加了灵活性和扩展性,不过技术实现比较复杂,一般由电信运营商提供,或由用户委托电信运营商实现。
1.2.6 按路由管理方式划分
按路由管理方式划分,VPN分为两种模式。
2. 叠加模式(Overlay Model)
也译为“覆盖模式”。目前大多数VPN技术,如IPSec、GRE都基于叠加模式。采用叠加模式,各站点都有一个路由器通过点到点连接(IPSec、GRE等)到其他站点的路由器上,不妨将这个由点到点的连接以及相关的路由器组成的网络称为“虚拟骨干网”。叠加模式难以支持大规模的VPN,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其他所有站点
建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。
3. 对等模式(Peer Model)
对等模式是针对叠加模式固有的缺点推出的。它通过限制路由信息的传播来实现VPN。这种模式能够支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN。采用这种模式,相关的路由设备很复杂,但实际配置却非常简单;容易实现QoS服务;扩展更加方便,因为新增一个站点,不需与其他站点建立连接。这对于网状结构的大型复杂网络非常有用。MPLS技术是当前主流的对等模式VPN技术。
1.2.7 按照实现方式划分
VPN按照实现的方式可以分为基于用户端CPE设备的VPN和基于运营商网络的VPN。当一个企业用户要建立一个虚拟专用网络时,既可以由用户端来实现,也可以由网络运营商来实现,甚至可以由网络运营商和用户共同来实现,这就是所谓的VPN 实现的分类。
1.基于用户端CPE设备的VPN
基于用户端CPE的VPN是指用户自己设置并维护VPN网关设备,在各个分支机构和公司总部之间建立VPN连接,并且可以采用加密技术以保障数据传输的安全性。连接的建立与用户的管理完全由用户自己负责,网络运营商不必调整或改变网络的结构与性能就可以提供对这种VPN功能的基本支持。这种实现方式的特点是,VPN的实现对网络运营商透明,网络运营商不需要任何设备投资。同时,网络运营商由于没有提供增值服务,除了可以获得更多的专线接入或拨号接入用户以外,无法得到额外的收入。
2. 基于运营商网络的VPN
基于网络运营商网络的VPN方式是指网络运营商的公共数据网络上设置VPN网关设备,用于接入企业的专线用户或远程拨号接入用户。利用该网关设备,可以在全网范围内,根据具体的VPN网络需求,通过隧道封装或虚拟路由以及MPLS等技术,建立完全的或不完全的VPN网络结构,并且也可以采用加密技术以保障数据传输的安全性。VPN连接的建立完全由网络运营商负责,对用户透明。用户的管理可以灵活地由用户和网络运营商共同管理。运营商要根据具体的需要调整或改变网络结构与设备性能来支持这种VPN的实现。网络运营商提供VPN增值服务,可以得到额外的收入,例如用户管理和增加的专线或拨号接入租费等。另外,由于网关设备由网络运营商提供并管理,可以同时为多个企业用户提供VPN服务。
3.网络运营商同用户共同实现的VPN
对于网络运营商同用户共同实现VPN的方式是指在网络运营商的公共网络上以及用户端可以根据需要灵活地设置VPN网关设备。VPN连接的建立可以是分别从用户端或网络运营商的VPN网关设备开始,并且可以分别终结到用户端或网络运营商的VPN网关设备。用户的管理也可以灵活地由用户和网络运营商联合管理。用户和网络运营商要根据具体的需要调整或改变网络结构与设备性能。这种实现方式的特点是,VPN的实现根据具体情况而定,灵活方便。由于网络运营商提供VPN服务需要较大的设备与管理投资,可以首先在VPN业务需求较多的地市配置VPN网关设备,对于个别的VPN用户,可以采用用户端实现的方式或采用配置较低的网关设备。目前还有一种经济可行的方法就是利用宽带接入服务器。宽带接入服务器是典型的运营商网络和用户端设备综合的VPN模式。它由于采用标准的隧道技术,所以既可以从网络端发起隧道,也可以终结由用户端设备发起的隧道,从而实现这种网络和用户端设备综合的VPN模式。
2 虚拟专用网在教育行业的应用前景
虚拟专用网用于教育行业的实例很少,其实虚拟专用网在教育行业的应用前景
也很广泛,它的安全、低廉的特征很符合教育行业应用高要求、低投入的特性,它在教育行业可应用于以下几方面:
2.1 校园网建设
学校建设校园网的目的是为了提供一个先进、开放、实用的计算机网络环境,进一步提供网上教学、科研活动、学校行政治理信息系统和其他现代化的网络通信服务,但这些应用仅局限在校园网内部,虚拟专用网的应用就可以实现校园网应用的扩展,可以把校园网的各种网络通信服务延伸到教师和学生家里,教师可以在家中使用校园网内部的教育资源库进行备课,学生可以从校园网中获得各种学习资源、实现网上学习。
2.2 网上远程教育
网上远程教育作为一个崭新的教育形式。将最大限度利用现有教育资源,是实现教育的大众化、现代化、终身化和国际化的新型教育形式和必然途径。网络作为远程教育的重要载体之一,在应用过程中,网络的优势日趋显现。虚拟专用网在这一领域的应用,可以实现跨地域建立一个虚拟专用教学网,使教与学的过程就像在一个内部网中进行,实现远程教学的开放与安全、自主与协作的和谐统一。
2.3 教育城域网建设以及“校校通”工程
教育城域网建设是把各个学校零散的校园网组成一个大型网络,它对于大面积的提高教育教学的质量、充分的共享教育资源、减少教育信息化建设的整体投入起着极大的作用。现今城域网的建设动辄用铺设专线,租用光纤等高投入的方式,虽然极大的提高了网络的速度及安全,但这种投入与产出在现阶段是不成正比的。虚拟专用网作为廉价的解决方案,将是近阶段城域网建设最重要的手段之一。尤其在全国“校校通”工程的建设中,虚拟专用网有着其它方式不可比拟的优势。
3 虚拟专用网技术详解
VPN是采用隧道技术以及加密、身份认证等方法,在公共网络上构建虚拟专用网络的技术。
3.1 虚拟专用网的核心——隧道技术
1.隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信,隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。多种网络设备和软件可以充当隧道开通器:
(1)PC上的Modem卡和有VPN拨号功能的软件,该软件已经打包在WINDOWS系列操作系统中;
(2)客户端网络中有VPN功能的路由器;
(3)网络服务商站点中有VPN功能的路由器。
2. 隧道终端器的任务是使隧道到此终止,充当隧道终端器的网络设备和软件有:
(1)专用的隧道终端器;
(2)网络中的防火墙;
(3)网络服务商路由器上的VPN网关。
3. 隧道包括点到点和端到端隧道两种。在点到点隧道中,隧道由远程用户的PC 延伸到企业服务器,两边的设备负责隧道的建立以及两点之间数据的加密和解密。第二种隧道是端到端隧道,隧道终止于防火墙等网络边缘设备,主要是连接两端局域网。在数据包传输中,数据包可能通过一系列隧道,才能到达目的地。
3.2 虚拟专用网的协议——隧道协议
虚拟专用网技术中的隧道是由隧道协议形成的,正如网络是依靠相应的网络协议完成的一样。虚拟专用网使用两种隧道协议:点到点隧道协议和第二层隧道协议。
1. 点到点隧道协议:PPTP支持通过公共网络建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内,因此答应用户远程运行依靠特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样安全。另外还可以使用PPTP建立专用LAN到LAN的网络。PPTP协议捆绑在Windows系列操作系统中。在VPN中应用最广。
2. 第二层隧道协议:L2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样答应用户远程运行依靠特定网络协议的应用程序。与PPTP不同的是,L2TP使用新的网际协议安全机制来进行身份验证和数据加密。
3. 虚拟专用网的安全保障——加密和解密技术
VPN技术的安全保障主要就是靠加密、解密技术来实现的,除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能,虚拟专用网使用的是标准Internet安全技术,进行数据加密、用户身份认证等工作。
在VPN中,IPsec的安全性是最好的。在建立安全隧道和使用安全策略时,各个过程进行得更加严格。IPsec使用了IPsec隧道模式。在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。
4. 虚拟专用网的生命——身份认证和安全策略
虚拟专用网是一种通过公众网资源为客户构成专用网的一种业务,假如安全技术不过关,势必给黑客造成可乘之机,将给使用它的用户带来不可估量的损失,所以说身份认证和安全策略是它的生命。在隧道建立过程中,采取一系列的步骤以保证数据在公共网络中传输的安全性。
(1) 用户认证:由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。用户把姓名、口令通过增强用户握手认证协议,发送到ISP网络。ISP网络联系企业RADIUS服务器,进行用户确认,收到确认后,ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配,以及隧道终端器的IP地址分配。
(2) 进行设备确认:建立安全隧道。隧道开通器使用自己的私钥进行数字签名,并发送给隧道终端器,隧道终端器使用隧道开通器的公钥,对隧道开通器进行签名确认。反之,隧道开通器对终端器进行确认。然后双方协商对数据进行加密时使用的算法。
(3) 使用安全策略:下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高,消息认证等过程就越严格。
VPN网络中通常还有一个或多个安全服务器。其中最重要的是远程拨入用户安全服务器校园网应用解决方案
虚拟专用网的基本原理都是一致的,但具体到应用解决方案种类却很多,选择一种合适的解决方案决定了学校校园网运行中的安全性、稳定性,同时要考虑投入问题。
4. 我选用的应用解决方案
我校校园网现已基本建设完成,但在网络设计初期没有考虑到虚拟专用网,所以没有采购集成VPN功能的设备,在网络使用中感觉到虚拟专用网的必要性。而需要在现有网络上实现VPN服务又不增加设备投入,则基于独立VPN软件的系统解决方案就成了我的首选。现将我校虚拟专用网建设过程总结如下:
1.我校网络情况介绍
我校校园网是基于三层交换结构的网络,通过三层交换将整个校园按楼栋划分了若干子网,大致网络结构如图5所示,光纤收发器光转电后接入三层交换机中划出的5口的公网静态IP用的VLAN,其中一口连接至防火墙的外网端口,从防火墙内网端口连接至交换机提供给整个校园网各子网的上行端口,防火墙的停火区端口连接至WEB服务器。内部资源服务器与交换机相连。
2. 部署配置VPN远程访问服务器
(1)作为VPN远程访问服务器条件是:
首先必须拥有一个公网的静态IP地址,只有这样远程访问才有“址”可循;其次服务器需要配置两个连接,一个用于Internet连接,一个用于Intranet连接,可通过安装两块网卡分别指定内、外网IP地址来实现。有了以上两个条件,就可以将您的服务器配置为虚拟专用网VPN远程访问服务器了。
(2)启用VPN远程访问服务器:
在WINDOWS2000服务器集成了程序,在“治理工具”中可以找到,启动“路由和远程访问”。
图 4.1 配置并启用路由和远程访问
(3)配置VPN服务器上TCP/IP
外网IP地址为公网的静态IP地址,内网IP地址可设置为与VPN要访问的校园网同一个网段,也可设置在不同网段,通过添加路由的方式来实现VPN服务器与内部资源服务器互通,在与VPN服务器之间传送数据包时,Internet和VPN服务器之间的NAT 将发布的IP地址转换为专用的IP地址。由于与自动配置TCP/IP有关的路由问题,建议不要将VPN服务器配置为DHCP客户端。而是手动在VPN服务器的Intranet接口上配置TCP/IP。使用默认网关配置VPN服务器的Internet接口。不要使用默认网关配置VPN
服务器的Intranet接口。
图 4.2 chnking 属性
图 4.3 KENT(本地)属性
(4)配置VPN服务器上路由
要使VPN服务器能够将通信正确地传送到Intranet中的各个位置,必须给它配置以下设置之一:汇总Intranet中所有可能IP地址的静态路由或者使VPN服务器能够用作动态路由器的路由协议,该协议自动将Intranet子网的路由添加到其路由表中。
一般情况VPN客户端进入Intranet后,只答应对校园网中内部资源服务器进行访问,所以在我校虚拟专用网建设中,VPN服务器内网IP与内部资源服务器处于同一网段,这样省去很多关于路由方面设置的麻烦。
3. 部属VPN客户端在部属VPN客户端时,由于选用的是基于WINDOWS2000虚拟专用网远程访问服务器软件,所以在客户端只需使用WINDOWS系列操作系统集成的VPN 拨号软件即可。以现在最流行的操作系统WINDOWSXP为例,具体实施过程如下:(1)建立虚拟专用网络连接
在“控制面板”中打开“网络连接”,“创建新的连接”,在新建连接向导中选择“连接到工作场所的网络”,选择“虚拟专用网络连接”,根据提示输入连接名称、IP地址,最后输入用户名与密码,就建好了VPN连接。
图 4.4 接口凭据
连接成功:
图 4.5 连接成功
实际上客户端的设置远不止这些,比如安全策略,路由等,由于我校建设VPN 的目的是为了教师可以远程访问并使用内部资源服务器的资源,为了降低教师在家
中的VPN连接设置的难度,所以就不再做其它设置。
(2)使用虚拟专用网VPN
在使用前应先使用ADSL或其它方式拨入Internet,在使用虚拟专用网络连接拨入校园网内部,现在就可以坐在家中使用校园网内部的资源了,实际上无论你身处何地,只要你的计算机能够连入Internet,就可以通过虚拟专用网进入校园网内部,就如同实际连接到校园网的Intranet一样。
图 4.6虚拟专用网建设完成后我校网络拓扑图
总之,虚拟专用网在教育行业的应用前景非常广泛,一旦它在学校成功运用,就像是为校园网插上了一对翅膀,成为一个能走出校园的校园网,假如在“校校通”工程上用好虚拟专用网,将为“校校通”的早日实现做出巨大的贡献。
参考文献
[1]Richard Deal著. Cisco VPN完全配置指南[M].北京:人民邮电出版社, 2007,(4). [2]Mark Lucas等著.防火墙策略与VPN配置[M]. 北京:水利水电出版社,2008,(1). [3]高海英,薛元星,辛阳等著.VPN技术[M]. 北京:机械工业出版社, 2004,(4).
[4]王达等著。虚拟专用网(VPN)精解[M]. 北京:清华大学出版社, 2005,(4).
[5] Mark Lewis著. VPN故障诊断与排除[M]. 袁国忠等译.北京:人民邮电出版社, 2006,(2).